Aunque ya dada , la botnet ZeroAccess (P2P) ha resurgido, y desde hace tan sólo unas semanas, ha vuelto a propagar las estafas click-fraud (clicks invalidos).
Los investigadores de SecureWorks de Dell reveló el miércoles que pudieron detectar cuando la botnet reinició entre el 21 de marzo al 2 de julio del 2014 y que a mediados de este mes - seis meses después de que fue vista por última vez - la botnet al parecer ha vuelto a operar y otra vez está repartiendo plantillas para ejecutar click-frauds.
Click-fraud, una de las técnicas más fáciles que los cibercriminales utilizan para obtener beneficios económicos del malware, es esencialmente la malversación de los ingresos por publicidad de los clics que no proceden de clientes legítimos.
A pesar del resurgimiento de la botnet, los investigadores insisten en que no ha crecido o incluso tratado de incorporar nuevas maquinas infectadas. En lugar de eso, se ha dividido en dos botnets más pequeñas que utilizan diferentes puertos UDP, operando con equipos de infecciones pasadas.
Los investigadores encontraron ZeroAccess en dos botnets más pequeñas en sistemas Windows comprometidos de 32 bits (azul) y 64 bits (gris) .
"Los sistemas comprometidos actúan como nodos de la red P2P, y reciben periódicamente nuevas plantillas que incluyen las direcciones URL de los servidores de la plantilla del ataque en progreso," escribió la firma Counter Threat Unit (CTU).
Una vez que se visitan las direcciones URL, como una reacción en cadena, los bots son redirigidos a su destino final.
La unidad afirma que contó 55.000 o mas, direcciones IP diferentes - sobre todo en Japón, la India y Rusia - reportarse con la botnet a partir del 17 de enero al 25 de enero algunos pueden considerar 55K poca cosa en comparación con los dias de apogeo de la botnet, cuando Microsoft limpio medio millón de máquinas del virus a partir de 02-marzo 2013, pero Dell está haciendo hincapié en que para todos los efectos ZeroAccess todavía debe considerarse sustancial.Añadiendo que puede que no sea capaz de hacer lo que otros botnets llamativos pueden, como llevar a cabo el fraude bancario o mantener archivos rescate de los usuarios, ZeroAccess todavía puede causar estragos en los anunciantes y máquinas que infecta por igual.
Se pensaba que la botnet estaba muerto en diciembre 2013 después de que Microsoft, junto con el Centro de Europol Europea Ciberdelincuencia (EC3), el FBI, y la empresa A10, interrumpiendo dos millones de máquinas infectadas por ZeroAccess. Click-fraud es sólo uno de los pasatiempos favoritos de la botnet. ZeroAccess, a / k / a Sirefef, también se ha visto el secuestro de los resultados de búsqueda y redirigir la información de las víctimas a los sitios web maliciosos que roban y por un breve período la plataforma incluso se le vio facilitando la minería Bitcoin.
Microsoft redujo mucho las tendencias click-fraud de la botnet en mayo 2013 después de que sumó su firma a su herramienta de eliminación de software malintencionado (MSRT) y limpiado todas las máquinas infectadas donde pudiera encontrar ZeroAccess.
Fuente: ThreatPost
